标签:
安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道“永远不能相信那些用户输入的数据”。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。
在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等。一起看看PHP中常用的、可以确保项目安全的函数。注意,这并不是完整的列表,是我觉得对于你的i项目很有的一些函数。
1. addslashes
addslashes 返回字符串,该字符串为了数据库查询语句等的需要在某些字符前加上了反斜线。这些字符是单引号(‘)、双引号(")、反斜线(\)与 NUL(NULL
字符)。
一个使用 addslashes() 的例子是当你要往数据库中输入数据时。 例如,将名字 O‘reilly 插入到数据库中,这就需要对其进行转义。 强烈建议使用 DBMS 指定的转义函数 (比如 MySQL 是 mysqli_real_escape_string(),PostgreSQL 是 pg_escape_string()),但是如果你使用的 DBMS 没有一个转义函数,并且使用 \ 来转义特殊字符,你可以使用这个函数。 仅仅是为了获取插入数据库的数据,额外的 \ 并不会插入。 当 PHP 指令 magic_quotes_sybase 被设置成 on 时,意味着插入 ‘ 时将使用 ‘ 进行转义。
PHP 5.4 之前 PHP 指令 magic_quotes_gpc 默认是 on, 实际上所有的 GET、POST 和 COOKIE 数据都用被 addslashes() 了。 不要对已经被 magic_quotes_gpc 转义过的字符串使用 addslashes(),因为这样会导致双层转义。 遇到这种情况时可以使用函数 get_magic_quotes_gpc() 进行检测。
stripslashes为addslashes的unescape函数
<?php $str = "Is your name O‘reilly?"; // 输出: Is your name O\‘reilly? echo addslashes($str); ?>
htmlspecialchars把HTML中的几个特殊字符转义成HTML Entity(格式:&xxxx;)形式,包括(&),(‘),("),(<),(>)五个字符。
& (AND) => &
” (双引号) => " (当ENT_NOQUOTES没有设置的时候)
‘ (单引号) => ' (当ENT_QUOTES设置)
< (小于号) => <
> (大于号) => >
htmlspecialchars可以用来过滤$GET,$POST,$COOKIE数据,预防XSS。注意htmlspecialchars函数只是把认为有安全隐患的HTML字符进行转义,如果想要把HTML所有可以转义的字符都进行转义的话请使用htmlentities。
htmlspecialchars_decode为htmlspecialchars的decode函数。
HTML实体对照表:http://www.w3school.com.cn/html/html_entities.asp
As of PHP 5.4 they changed default encoding from "ISO-8859-1" to "UTF-8". So if you get null from htmlspecialchars or htmlentities
<?php echo htmlspecialchars($string); echo htmlentities($string); ?>
you can fix it by
<?php
echo htmlspecialchars($string, ENT_COMPAT,‘ISO-8859-1‘, true);
echo htmlentities($string, ENT_COMPAT,‘ISO-8859-1‘, true);
?>
htmlentities把HTML中可以转义的内容转义成HTML Entity。html_entity_decode为htmlentities的decode函数。
mysql_real_escape_string会 调用MySQL的库函数mysql_real_escape_string,对(\x00), (\n), (\r), (\), (‘), (\x1a)进行转义,即在前面添加反斜杠(),预防SQL注入。注意你不需要在读取数据库数据的时候调用stripslashes来进行 unescape,因为这些反斜杠是在数据库执行SQL的时候添加的,当把数据写入到数据库的时候反斜杠会被移除,所以写入到数据库的内容就是原始数据, 并不会在前面多了反斜杠
但是现在已经不推荐使用mysql_real_escape_string()了,所有新的应用应该使用像PDO一样的函数库执行数据库操作
strip_tags会过滤掉NUL,HTML和PHP的标签,JavaScript,当然你也可以通过设置该函数的第二个参数,让一些特定的标签出现
<?php $text = ‘<p>Test paragraph.</p><!-- Comment --> <a href="#fragment">Other text</a>‘; echo strip_tags($text); echo "\n"; // 允许 <p> 和 <a> echo strip_tags($text, ‘<p><a>‘); ?>
输出结果
Test paragraph. Other text <p>Test paragraph.</p> <a href="#fragment">Other text</a>
Removed from PHP, and generates a fatal E_CORE_ERROR
level error when enabled.
可以通过配置php.ini中的disable_functions函数列表进行限制指定函数
7、magic_quotes_gpc
此函数在PHP <= 4.2.3默认开,会自动对GPC (Get/Post/Cookie)提交的值中的’, “, 和空格进行转义,PHP5.4中get_magic_quotes_gpc()默认返回false。
基本上还是不受影响,先检测状态,然后采用mysql_real_escape_string进行转义处理
8、register_globals
描述:此函数虽然从PHP>>4.2开始默认由on改为off,但是如果程序员开启的话会导致变量覆盖等安全问题,特别是结合文件包含漏洞等。
可以结合前面sablog源码中的函数进行改写(采用extract函数).
9、session_register
已删除(session_unregister()、session_is_registered 删除),采用session认证的时候可以用该函数注册session变量。
采用$_SESSION数组进行注册变量。
PHP自带的安全函数并不能完全避免XSS,推荐使用HTML Purifier
输出 HTML 代码时 htmlspecialchars 输出 JavaScript 代码时 json_encode JavaScript 函数名(JSONP)用正则过滤 输入过滤应该用于解决业务限制, 而不是用于解决 XSS 注入
参考地址
http://www.pixelstech.net/article/1300722997-Useful-functions-to-provide-secure-PHP-application
标签:
原文地址:http://www.cnblogs.com/chenpingzhao/p/4802179.html